Аналізатор трафіку

Аналізатор трафіку, або сніффер (Від англ . to sniff - нюхати) - Мережевий аналізатор трафіку, програма або програмно -апаратний пристрій , призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку , призначеного для інших вузлів.

Під час роботи сніффер мережевий інтерфейс перемикається в т.з. «Режим прослуховування » (Promiscuous mode) , що і дозволяє йому отримувати пакети , адресовані іншим інтерфейсам в мережі.

Перехоплення трафіку може здійснюватися:

• звичайним « прослуховуванням »мережевого інтерфейсу ( метод ефективний при використанні в сегменті концентраторів ( хабів) замість комутаторів ( світч), інакше метод малоефективний , оскільки на сніфер потрапляють лише окремі фрейми);
• підключенням сніффер в розрив каналу;
• відгалуженням (програмним або апаратним ) трафіку і спрямуванням його копії на сніфер ;
• через аналіз побічних електромагнітних випромінювань і відновлення таким чином прослуховується трафіку;
• через атаку на канальному (2 ) (MAC - spoofing) Або мережевому (3 ) рівні (IP - spoofing) , що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу . \

На початку 1990- х широко застосовувався хакерами для захоплення призначених для користувача логінів і паролів , які у ряді мережевих протоколів передаються в незашифрованому або слабозашифрованому вигляді . Широке розповсюдження хабів дозволяло захоплювати трафік без великих зусиль у великих сегментах локальної мережі практично без ризику бути виявленим.

Сніфери застосовуються як в благих , так і в деструктивних цілях. Аналіз що пройшов через сніфер трафіку дозволяє:

• Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережевого обладнання і каналів зв'язку ( сніфери тут малоефективні ; як правило , для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз) .
• Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад , мережеві сканери , флудери , троянські програми , клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніффер - моніторів мережної активності) .
• Перехопити будь-який незашифрований ( а деколи і зашифрований ) призначений для користувача трафік з метою отримання паролів і іншої інформації.
• Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами)

Оскільки в « класичному » сніффер аналіз трафіку відбувається вручну , із застосуванням лише простих засобів автоматизації ( аналіз протоколів , відновлення TCP -потоку ) , то він підходить для аналізу лише невеликих його обсягів.

Знизити загрозу сніффінга пакетів можна за допомогою таких засобів як:

• Аутентифікація
• Криптографія
• Антісніффери
• Комутована інфраструктура

• Сніфери :
  • Aircrack - ng
  • Wireshark
  • tcpdump
  • pcap - Бібліотека
  • Iris
  • WinDump
  • NSA - Моніторинг IP мереж NSA " ІнноВінн " .
  • Sniffit - Найперший сніфер , що отримав широку популярність. Тестувався на наступних ОС: GNU / Linux , SunOS , Solaris , FreeBSD , IRIX . У 1990- х роках був синонімом слова sniffer .
  • Ultra Network
  • Sniffer
  • Analyzer (Windows )
  • Packetyzer
  • Network General - Sniffer Technologies
  • IPDump2 , a portable packet sniffer - посилання не працює
  • LanGrabber - сніффер видобуває файли з мережного трафіку
  • Observer
  • Xplico Open source Internet Traffic Decoder ( NFAT )
  • 0x4553 - Intercepter
  • pTraffer Система збору , індексування та пошуку інформації з оповіщенням про появу ключових слів
  • Network Instruments GOSS , WOSS